

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# ACL-aware recuperación en bases de conocimiento gestionadas
<a name="kb-test-retrieve-acl"></a>

Cuando se habilita el reconocimiento de las ACL en una fuente de datos de base de conocimientos gestionada, se filtran los resultados de las consultas introduciendo un contexto de usuario en la solicitud de [recuperación](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html). La base de conocimientos gestionada de Bedrock devuelve solo los documentos a los que el usuario proporcionado puede acceder. Para obtener una descripción general de cómo funciona el reconocimiento de la ACL, el modelo de identidad, el soporte de los conectores y sus responsabilidades a la hora de habilitarla, consulte[Habilitación del conocimiento de las listas de control de acceso](kb-managed-acl.md).

**importante**  
El reconocimiento de la ACL proporciona ACL-aware filtrado, no autorización. La base de conocimientos gestionada por Bedrock no autentica a los usuarios finales; su aplicación debe autenticar a los usuarios y pasar por un contexto de identidad verificado. Para obtener más información, consulte [Habilitación del conocimiento de las listas de control de acceso](kb-managed-acl.md).

## Uso de UserContext en las solicitudes de recuperación
<a name="kb-test-retrieve-acl-api"></a>

Para realizar la ACL-aware recuperación, incluye el `userContext` campo en tu solicitud de [recuperación](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html). `userContext`Especifica la identidad del usuario. `userId`Es siempre la dirección de correo electrónico universal del usuario asociada a la fuente de datos subyacente.

```
{
    "knowledgeBaseId": "{{your-knowledge-base-id}}",
    "retrievalQuery": {
        "text": "{{your query}}"
    },
    "userContext": {
        "userId": "{{user@example.com}}"
    }
}
```

Si no proporciona una solicitud `userContext` de recuperación, las fuentes de ACL-enabled datos no arrojan ningún resultado. Non-ACL las fuentes de datos de la misma base de conocimientos devuelven los resultados normalmente.

## Comportamiento de recuperación con ACL
<a name="kb-test-retrieve-acl-behavior"></a>

Cuando se habilita el reconocimiento de la ACL, se aplican los siguientes comportamientos:
+ **Se requiere el contexto de usuario para las fuentes de ACL-enabled datos**: si no proporciona el contexto de usuario en una solicitud de recuperación, las fuentes de ACL-enabled datos no arrojan ningún resultado. Non-ACL Las fuentes de datos de la misma base de conocimientos devuelven los resultados normalmente.
+ La **falta de metadatos de la ACL significa que es inaccesible**: si un documento de una fuente de ACL-enabled datos no tiene una ACL (por ejemplo, el conector no pudo extraer los permisos o el documento es público), ese documento no se devuelve a ningún usuario. Los permisos faltantes se consideran restringidos, no públicos.
+ **Fuentes de datos mixtas**: puede tener tanto ACL-enabled fuentes de datos como fuentes de datos ajenas a ACL en la misma base de conocimientos. Los documentos de fuentes de datos ajenas a ACL se devuelven a todos los usuarios, independientemente del contexto del usuario.
+ **Resultados parciales**: cuando la verificación de la ACL en tiempo real deniega el acceso a algunos documentos, la respuesta puede contener menos resultados de los solicitados`maxResults`. La base de conocimientos gestionada de Bedrock no se rellena con documentos adicionales. Su solicitud debe gestionar las respuestas con menos resultados de los solicitados.
+ **Denegar las anulaciones**: si un usuario aparece tanto en una lista de documentos permitidos como en una lista de rechazados, se deniega el acceso.

**nota**  
Third-party las credenciales del proveedor de identidad se almacenan en caché durante un máximo de 1 hora. El acceso puede continuar hasta que se actualice la memoria caché.  
Con el tiempo, los cambios en los permisos de control de acceso son consistentes. Las actualizaciones suelen surtir efecto en unos minutos.

## Resolución de problemas
<a name="kb-test-retrieve-acl-troubleshooting"></a>

Si la ACL-aware recuperación no arroja resultados o los resultados son inesperados, la causa suele ser específica del conector: permisos, credenciales o configuración de ACL. Consulte la guía de solución de problemas de su conector:
+ [SharePoint](kb-managed-ds-sharepoint-acl.md#kb-managed-ds-sharepoint-acl-troubleshooting)
+ [OneDrive](kb-managed-ds-onedrive-acl.md#kb-managed-ds-onedrive-acl-troubleshooting)
+ [Google Drive](kb-managed-ds-googledrive-acl.md#kb-managed-ds-googledrive-acl-troubleshooting)
+ [Confluence](kb-managed-ds-confluence-acl.md#kb-managed-ds-confluence-acl-troubleshooting)
+ [Amazon S3](kb-managed-ds-s3-acl.md#kb-managed-ds-s3-acl-troubleshooting)
+ [Personalizada](kb-managed-ds-custom-acl.md#kb-managed-ds-custom-acl-troubleshooting)